CD 




Europalsches Patentamt 
European Patent Office 
Office europeen des brevets 



0 Veroffentlichungsnummer: 0 304 033 

A2 



> 
O 

O 

Hi 

p 

CD 

<; 

1 

CO 

LL f : 

r 



© BUROPAlSCME patentanmeldung 

© Anmeldenummer 88113381.8 © int. CI. 4 : G06F 11/22 

© Anmeldetag: 17.08.® 



© Prioritat: 19.0*87 DS 3727887 

© Veroffentiichungstag der Anmaldung: 
22.02.89 Patentbiatt 88/08 

0 Benannte Vertragsstaatan: 

AT BC CH OS ES FR GB IT U NL S€ 



© AnmeWer Siemens AJcttengeaellschaft Berlin 
und MUnchen 
Wttetebacherplata 2 
0-8006 Afilnehen 2(08) 

© Erfinder: Kraua, (SJnther, Dlpl.-tng. 
Adalbert-Stmar-Straase 17 
0-8182 Vag*n<Dff) 

Erfinder: BeuteJapacher, AlbrecM, Prof. Dr. 

Landwehrweg 7 

0-6308 GrosMn-auMcfc(OS) 



© Verfahren zum Dlagnoatoteren emer von Computerviren befaitonen Datarwararb*itu*gsanlag«. 



® Das Verfahren ist geicennzeicrmet durch die Ver- 
wendung ainea, einen Aigorithmus errthetenden, vi- 
rusfreien Programms P, aus dam zum Zeitpunkt x => 
to mit Hr&e des Algortthmua ein 
Programmauthentifizierungs-Code PAC * f (P) ge- 
bildet und zuaammen mit dam Programm abgespei- 
chert wird. Zu PrOfzwecten wtrd nun diaees virus- 
freie Programm zu ap&teren ZeOpunktan x a t1, t2 f 
t3. ... tn aJa Kgdar pr o gram m in <3e zu untarsuchande 
Datanveraitoeftungaaniage eingebracht und geatartat, 
der sch data* jewatla ergpbende 
Pro^wrTUttrthanti<Warunga-Cod» PAC mtt dam ge- 
spetchartan Progranwnaulhentifi^^ PAC 
vergltchen und bet Ungieichheit eJn FehfersignaJ ar- 
zeugt. 
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Verlahren zum Olaonostizieren einer von Computerviren befallenen Datenverarbeitungsanlage 



Die Erfindung betrifft ein Verfahren zum Dia- 
gnostizieren einer von Computerviren befallenen 
Datenverarbeitungsanlage gemafl den Merkmalen 
des Oberbegriffs des Patentanspruchs 1. 

Computerviren haben die Eigenschaft. da/3 sie 
ursprunglich sterile Programme infizieren, d.h. hin- 
sichtlich Qualitat und Quantitat so verandern, dafl 
die Funktion und eventuell die lange des befalle- 
nen Programms mit denen des ursprQnglich steri- 
len Programms nicht mehr ubereinstimmen. Ein 
Virusprogramm kann dabei sowohl als isoliertes 
Programm als auch in Gestalt eines bereits infizier- 
ten Benutzerprogramms auftreten. In beiden Fallen 
besitzt es die Fahigkeit, eine Kopie von sich selbst 
zu erzeugen und in ein anderes Programm einzu- 
schieusen, das dann seinerseits wieder als Virus 
auftreten und weitere Programme infizieren kann 
mit der Folge. dafl sich Computerviren letztlich 
"lawinenartig" ausbreiten kdnnen. 

In Anbetracht des Schadens, den ein infiziertes 
Programm anrichten kann. kommt dem rechtzeiti- 
gen Erkennen und Auffinden eines solchen Pro- 
gramms eine erhebliche Bedeutung zu. In der Pra- 
xis stoflt diese jedoch auf erhebliche Schwierigkei- 
ten, weil einem Programm, zumai einem umfang- 
reichen Programm. auf den ersten Blick grundsMtz- 
lich nicht anzusehen ist, ob es infiziert 1st Oder 
nicht. Vergleichstests mit Hilfe eines sterilen Exem- 
plars desselben Programms anhand einer rein visu- 
ellen Prufung waren zwar grundsatzJich m6glich. 
scheiden aber aus praktischen ErwMgungen aus. 
Auch der Einsatz der Datenverarbeitungsanlage zur 
Programmprufung kommt letztlich nicht in Betracht 
weil maschir.eil nicht mit letzter Slcherheit feststell- 
bar ist. ob ein Programm wirklich das tut, was es 
soil, abgesehen davon, dafl noch viel weniger fest- 
stellbar ist, ob ein Programm etwas tut, was es gar 
nicht soil. 

Im ubrigen hStten derartige Prufroutinen, falls 
sie erfolgreich realisiert werden kdnnten. nur dann 
einen Sinn, wenn sie beliebig oft wiederholt werden 
kQnnten. Virusprogramme k6nnen namlich mit ei- 
ner besonderen Eigenart. der sogenannten 
"Ausloser-Funktion behaftet sein. Das einge- 
schleuste Virus halt dann fur einen vorbestimmten 
Zeitraum still und wird erst durch den sogenannten 
Ausloser, zum Beispiel durch eine im Programm 
eingearbeitete Zeitangabe oder durch spezieile 
Rags wirksam. Wenn man also vor eventuellen 
"Zeitbomben" sicher sein will, mufl die Datenverar- 
beitungsanlage fortlaufend im Hinblilck auf eventu- 
ell eingeschleuste und neu auftretende vlren unter- 
sucht werden. 

Der voriiegenden Erfindung liegt nun die Auf* 
gabe zugrunde. eine Methode zu finden. mit der 



eine emfache unc beliebig wiederholbare Uberpru- 
fung einer Datenverarbeitungsanlage im Hinblick 
auf eventuell vorhandene Computerviren durchftihr- 
bar ist. 

5 Die L6sung dieser Aufgabe ergibt sich erfin- 

dungsgemafl durch die kennzeichnenden Merkma- 
le des Patentanspruchs 1 . Eine vorteilhafte Waiter- 
bildung des Erfindungsgedankens ist im Anspruch 
2 angegeben. 

to Das erfindungsgemafle Verfahren hat den Vor- 
teil, da/3 anstelle eines sehr aufwendigen Pro- 
gramrnvergleichs lediglich ein Vergleich zweier Co- 
des erforderlich ist. Voraussetzung fUr das Funktio- 
nieren des erfindungsgemaflen Verfahrens ist eine 
is zweifelsfrei sterile Kcpie des Programms, das 
heiflt. das Programm mufl auf einer Datenverarbei- 
tungsanlage hergestellt werden, von der mit Sicher- 
heit davon ausgegangen werden kann. dafl sie zum 
Zeitpunkt der Programmherstellung virusfrei war. 
20 Die Gewahr. dafl ein steriles Verglefchs-'NormaT 
vorhanden ist. kann am einfachsten mit einem von 
der Testperson selbst geschriebenen Programm 
gegeben werden, bei dem die Testperson sicher 
sein kann, dafl kein Virus eingepflanzt worden ist. 
25 Das aufgrund einer Differenz zwischen den beiden 
Codes gefundene Virus kann dann gegebenenfails 
isoliert und untersucht werden. Aus der Art und der 
Wirkungsweise des gefundenen virus kdnnen 
schiiefllich Methoden zur Desinfektion der Anlage 
30 entwickelt werden. 

Im folgenden wird die Erflndung anhand der 
Zeichnung naher eriautert. Dabei zeigen 

FIG 1 ein Blockschaitbild «ir eine Anordnung 
zur Erzeugung eines Testprogramms, 
35 FK3 2 ein Blocksehattbild fOr eine Anordnung 

zur DurchfUhrung eines Testdurchlaufs. 

Ausgangspunkt fur das erfindungsgemafle Ver- 
fahren ist ein absolut virusfreies Programm P. des- 
sen Besonderheit darin besteht, dafl es einen Algo- 
40 nthmus f enthait. Gemafl Figur 1 wird nun mit Hilfe 
dieses Algcnthmus f zum Zeitpunkt to aus dem 
Programm P ein Programmauthentifizierungs-Code 
PAC erzeugt. der zusammen mit dem Programm P 
in einem Speichermedium M abgespeichert wird. 
45 Dieses, aus dem virusfreien Programm P und 
dem Programmauthentifizierungs-Code PAC gebil- 
dete Testprogramm wird nun gemafl Figur 2 zu 
spateren Zeitpunkten 11. t2 ... tn als sogenanntes 
Koderprogramm in die zu untersuchende Datenver- 
so arbettungsanlage eingebracht. urn feststeiten zu 
kdnnen, ob diese Datenverarbeitungsanlage noch 
steril oder bereits von sogenannten Computerviren 
befallen ist. Dieser zum Beispiel durch einen in der 
Datenverarbeitungsanlage vorhandenen Zeitgeber 
T ausgeioste Test lauft nun so ab. dafl aus dem 
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gespeicherten Testprogramm, d.h. mit dem im Pro- 
gramm P enthaltenen Aigorithmus f ein v/eiterer 
Programmauthentifizierungs-Code PAC' erzeugt 
wird. Sowohl dieser neu gebildete Program mau- 
thentifizierungs-Code PAC' aJs auch der gespei- 5 
cherte Programmautherttifiaerungs-Code PAC war- 
den schliefllich einem Komparator COMP zuge- 
fQhrt, der bei Ungleichhett der Signale ein Fehlersi- 
gnal erzeugt. 



Ansprtiche 



1. Verfahren zum Diagnostizieren einer von 
Computerviren befailenen Datenverarbeitungsanla- is 
ge mit Hilfe ernes Testprogramms, 
gekennzerchnet durch die Verwendung eines, ei- 
nen AJgortthmus f enthaltenden. virusfreien Pro- 
gramms P. aus dem zum Zertpunkt x = to mit 
Hiife des Aigorithmus ein 20 

Programmauthentifizierungs-Code PAC * f (?) ge* 
bildet und zusammen mit dem Program m abge- 
speichert wird und dafi dieses virusfreie Programm 
zu spateren Zeitpunkten x' = n, t2. t3... tn ais 
Koderprogramm in die zu untersuchende Datenver- 25 
arbeitungsanlage eingebracht und gestartet der 
sich dabei jeweils ergebende 

Programmauthenttflzierungs-Code (PAC) mrt dem 
gespeicherten Programmauthentifizienmgs-Code 
(PAC) verglichen und bei Ungleichheit ein Fshlersi- 30 
gnal erzeugt wird. 

2. Verfahren nach Anspruch 1. 
dadurch geJcenrueichnet dafl der zu spateren 
Zaitpunkten gestartete Programmlauf durch etnen 
in der Datenverarbeitungsanlage vorhandenen Zeit- 35 
geber ausgeldst wird. 
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© Das Verfahren ist gekennzelchnet durch die Ver- 
wendung eines, einen Algorithmus enthaltenden, vi- 
rusfreien Programms P. aus dem zum Zeitpunkt x = 
to mit Hllfe des Algorithmus ein 
Programmauthentrfizierungs-Code PAC = f (?) ge- 
bildet und zusammen mlt dem Program m abgeapei- 
chert wird. Zu PrfJfzwecken wird nun dieses virus- 
freie Programm zu spSteren Zeitpunkten x' » t1, t2, 
t3, ... tn als KSderprogramm in die zu untsrsuchende 
Datenverarbertungsantage aingebracht und gestartet, 
der 3k* dabet Jewette f ergebende 
PrograrmwthenW»erunge-Code PAC mrt dem ge- 
spefcherten Programmautrwtfflziemr^^ PAC 
vergltchen und bei Ungletehhert ein FeWersignal err 
zeugt 
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© Das Verfahren ; .st gekennzeichnet durch die Ver- 
wendung eines, einen Aigorithmus enthaltenden, vi- 
rusfreien Programms P, aua dcm zum Zeitpunkt x 3 
to mit Ht«e des Aigorithmus ein 
Programmauthentifizierungs-Code PAC * f (P) ge- 
bildet und zusammen mit dem Programm abgespei- 
chert wird. 2u Prufzwecken wird nun dieses virus- 
freie Programm zu spiteren Zeitpunkten x' = t1, t2, 
t3, ... tn als KSderprogramm in die zu untersuchende 
Datenverarbettungsaniage eingebracht und gestartet 
der ach datoei jeweiis § ergebende 
Progiwmauthentifizierungs-Code PAC' mit dem ge- 
speicherten Programmauthentiffcrierungs-Code PAC 
verglichen und bei Ungleichheit ein Fehlersignal er- 
zeugt. 
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